CVE-2019-11061
HG100 has a broken access control vulnerability in its Web API Server
En resumen
El dispositivo HG100 permite que cualquier persona en la misma red controle los dispositivos IoT conectados sin iniciar sesión, accediendo directamente a un punto de acceso web. Un atacante puede encender/apagar dispositivos, cambiar configuraciones o interrumpir su funcionamiento sin contraseña ni permiso.
Detalle técnico
El firmware HG100 ≤4.00.06 contiene un control de acceso deficiente en el endpoint http://[target]/smarthome/devicecontrol de la Web API, accesible vía HTTP sin autenticación desde la red local. Un atacante no autenticado puede ejecutar operaciones arbitrarias de control de dispositivos, afectando confidencialidad, integridad y disponibilidad de los dispositivos IoT conectados.
Resumen generado y traducido por IA a partir de la descripción oficial.
A broken access control vulnerability in HG100 firmware versions up to 4.00.06 allows an attacker in the same local area network to control IoT devices that connect with itself via http://[target]/smarthome/devicecontrol without any authentication. CVSS 3.0 base score 10 (Confidentiality, Integrity and Availability impacts). CVSS vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Productos afectados
ASUS · HG100 firmwarePoCs públicas encontradas — 1
githubgithub.com/tim124058/ASUS-SmartHome-Exploit★ 23⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →